Здравствуйте, есть сайт с активной XSS. Как можно использовать ее ? Куки не получить из-за HTTP Only . Думал рекламу разместить, страничка более-менее посещаема, но это быстро заметят. Сайт это маленькая соц сеть ,через годик загнется.

-выполнение любых действий на сайте от имени пользователя, с помощью написания яваскрипта выполняющего нужное действие

-подмена страницы на фейк, к примеру с надписью для доступа к этой странице авторизируйтесь повторно, логин пароль может подойти не только к этому сайту, но и к почте, вк и другим сайтам

Хочу разместит рекламу на сайте, что бы раз в сутки когда пользователь будет на странице с xss его направляло на рекламный сайт. Есть скрипт создающий куку, и который редиректит на нужный сайт. Я скрипт закинул на хостинг . В xss вставляю такой код

Но он не срабатывает . Кука создается , но не срабатаывает редирект header("Location: http://google.com/"); . Вопрос вообще может скрипт с другого сайта редиректить сайт с xss ?

ифрейм подгрузи с эксплойтом

скрипт может, напиши хреф.локейшн например

ты картинкой пытаешься редиректить, если бы браузеры так работали, то к примеру на этом форуме и множестве других форумов и сайтов можно было бы картинки вставлять со своего сайта и редиректить, они здесь не грузятся на домен форума, а открываются из того линка, который ты указал, кстати в опере раньше можно было так делать, но это признали уязвимостью браузера и пофиксили